- •Место пази в системе кзи.
- •2. Модели угроз в пази
- •3. Модели системы пази.
- •1. Средства защиты информации
- •2. Аппаратные средства защиты информации
- •2.1 Задачи аппаратного обеспечения защиты информации
- •2.2 Виды аппаратных средств защиты информации
- •3. Программные средства защиты информации
- •3.1 Средства архивации информации
- •3.2 Антивирусные программы
- •3.3 Криптографические средства
- •3.4 Идентификация и аутентификация пользователя
- •3.5 Защита информации в кс от несанкционированного доступа
- •3.6 Другие программные средства защиты информации
- •Программно-аппаратные средства защиты информации в компьютерах
- •Методы и средства организационно-правовой защиты информации
- •Методы и средства инженерно-технической защиты
- •Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •Криптографические методы защиты и шифрование
- •4. Нормативно правовая база построения пази.
- •D — Минимальная защита (Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов).
- •5. Классификация ас и способов защиты.
- •6. Понятие ндв в пази.
- •Контроль исходного состояния программного обеспечения.
- •7.Модель нарушителя при построении системы пази.
- •8. Лицензирование средств пази.
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
- •Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию фапси
- •Перечень федеральных органов исполнительной власти, осуществляющих лицензирование
- •9. Процедура идентификации и аутентификации пользователей кс.
- •10. Идентификация и аутентификация с нулевой передачей данных.
- •11.Биометрические средства идентификации. Их характеристики.
- •12.Биометрические средства идентификации 1. (дактилоскопия, сетчатка)
- •13.Биометрические средства идентификации 2. (лицо, голос, сосуды)
- •14.Вредоносное по. Вирусы.
- •15.Сетевое вредоносное по.
- •16.Вредоносное по, использующее ресурсы кс.
- •17.Методы защиты от вредоносного по, антивирусные пакеты.
- •18.Основные понятия сетевой безопасности.
- •19.Межсетевые экраны. Классификация.
- •1)Управляемые коммутаторы (канальный уровень):
- •2)«Мэ с фильтрацией пакетов»
- •3)«Мэ сеансового уровня»
- •4)«Мэ прикладного уровня»
- •5)«Мэ экспертного уровня»
- •20.Межсетевые экраны. Применение.
- •Конфигурация с двумя межсетевыми экранами
- •21.Средства безопасности ос ms Windows. Подсистема разграничения доступа.
- •22.Средства безопасности ос ms Windows. Подсистема защиты данных.
- •23.Средства безопасности ос ms Windows. Подсистема сетевой безопасности.
- •24.Эцп.
- •25.Аппаратные средства зи. Комплексы Соболь и Аккорд.
- •26.Комплекс пази SecretNet.
- •27.Управление рисками кс.
- •28.Анализ рисков кс.
- •29.Способы уменьшения рисков кс.
- •30.Алгоритм устранения угрозы кс.
21.Средства безопасности ос ms Windows. Подсистема разграничения доступа.
В реализацию системы безопасности Windows входят следующие компоненты и базы данных:
- Монитор безопасности—Securityreferencemonitor(SRM).Компонент, который находится в исполняющей системе Windows (%SystemRoot%\System32\Ntoskrnl.exe) и отвечает за определение структуры данных маркеров доступа для представления контекста безопасности, выполнение проверки безопасности доступа к объектам, работу с привилегиями (правами пользователей) и генерацию любых итоговых сообщений проверки безопасности.
- Подсистема проверки подлинности локальной системы безопасности—LocalSecurityAuthoritysubsystem(LSASS).Процесс пользовательского режима запускает образ %SystemRoot%\System32\Lsass.exe, который отвечает за политику безопасности локальной системы (которая, например, определяет пользователей, обладающих правом входить в систему, политики паролей, привилегии, предоставленные пользователям и группам, и настройки проверки безопасности системы), аутентификацию пользователя и отправку сообщений проверки безопасности журналу событий (Event Log). Основная часть этих функциональных возможностей реализована в загружаемой LSASS библиотеке службы авторизации локальных пользователей — The LocalSecurityAuthorityservice(Lsasrv— %SystemRoot%\System32\Lsasrv.dll).
- База данных политики LSASS. База данных, в которой содержатся настройки политики безопасности локальной системы. Эта база данных хранится в реестре в ACL-защищенной области в разделе HKLM\SECURITY. Она включает информацию, которая, в частности, определяет, каким доменам доверена аутентификация попыток входа в систему, у кого есть права на доступ к системе и каким образом осуществляется этот доступ (интерактивные, сетевые или служебные регистрации), кому и какие привилегии назначены и какие виды проверки безопасности следует выполнять. В базе данных политики LSASS также хранятся «секреты», включающие информацию о входе в систему, использующуюся для кэшированных входов в домены и входов в службы Windows под учетной записью пользователя.
- Администратор учетных данных в системе защиты— Security Accounts Manager (SAM). Служба, отвечающая за управление базой данных, содержащей имена пользователей и определения групп на локальной машине. SAM-служба, реализованная в виде библиотеки %SystemRoot%\System32\Samsrv.dll, загружается в процесс LSASS.
База данных SAM. База данных, содержащая определения локальных пользователей и групп, наряду с их паролями и другими атрибутами. На контроллерах доменов служба SAM не хранит сведений о пользователях, определенных на домене, но хранит информацию определения учетной записи и пароля системного администратора, имеющего право на восстановление системы. Эта база данных хранится в реестре в разделе HKLM\SAM.
Active Directory. Служба каталогов, которая содержит базу данных, хранящую информацию об объектах в домене. Домен является совокупностью компьютеров и связанных с ними группами безопасности, которые управляются как единое целое. Active Directory сохраняет информацию об объектах в домене, куда включаются пользователи, группы и компьютеры. В Active Directory хранится информация о паролях и привилегиях для пользователей и групп домена, которая тиражируется на компьютерах, назначаемых в качестве контроллеров домена. Сервер Active Directory, реализованный в виде библиотеки %SystemRoot%\System32\Ntdsa.dll, запускается в контексте процесса LSASS.
Пакеты аутентификации (Authentication packages).Включают динамически подключаемые библиотеки — dynamic-link libraries (DLL), которые запускаются как в контексте процесса LSASS, так и в контекстах клиентских процессов и реализуют имеющуюся в Windows политику аутентификации. DLL-библиотека аутентификации отвечает за аутентификацию пользователей, реализуя ее путем проверки соответствия введенного имени пользователя и пароля и возвращения процессу LSASS в случае такого соответствия информации, уточняющей детали пользовательской идентичности с точки зрения безопасности, которые используются LSASS для генерации маркера доступа.
Интерактивный диспетчер входа в систему (Winlogon). Процесс пользовательского режима, в котором выполняется образ %SystemRoot%\System32\Winlogon.exe, отвечающий за реагирование на SAS и за управление интерактивными сеансами входа в систему. К примеру, Winlogon создает первый пользовательский процесс, когда пользователь входит в систему.
Пользовательский интерфейс входа в систему —Logon user interface (LogonUI). Процесс пользовательского режима, выполняющий образ %System-56Root%\System32\LogonUI.exe, который предоставляет пользователям интерфейс, который может быть использован ими для самоидентификации на системе. LogonUI использует поставщиков учетных данных для запроса учетных данных пользователя с помощью различных методов.
Поставщики учетных данных — Credential providers (CP). Находящиеся в процессе COM-объекты, запускающие процесс LogonUI (стартующий по запросу со стороны Winlogon при выполнении SAS) и используемые для получения имени пользователя и пароля, PIN-кода смарт-карты или биометрических данных (например, отпечатка пальца). Стандартными CP являются библиотеки %SystemRoot%\System32\authui.dll и %SystemRoot%\System32\SmartcardCredentialProvider.dll.
Служба входа в сеть— Network logon service (Netlogon).Служба Windows (%SystemRoot%\System32\Netlogon.dll) устанавливает безопасный канал к контроллеру домена, по которому отправляются запросы безопасности, например интерактивный вход в систему (если на контроллере домена запущена Windows NT 4) или проверка аутентификации диспетчера LAN Manager и диспетчера NT LAN Manager (v1 и v2). Netlogon также используется для входов в систему со стороны Active Directory.
Драйвер устройства безопасности ядра— Kernel Security Device Driver (KSecDD). Библиотека функций режима ядра, реализующая интерфейсы усовершенствованной системы вызова локальных процедур — advanced local procedure call (ALPC), — которые используются для обмена данными в пользовательском режиме с LSASS другими компонентами безопасности режима ядра, включая такой компонент, как шифрующая файловая система —EncryptingFileSystem(EFS).KSecDD находится в файле %SystemRoot%\System32\Drivers\Ksecdd.sys.
AppLocker. Механизм, позволяющий администраторам определять, какие исполняемые файлы, DLL-библиотеки и сценарии могут использоваться конкретными пользователями и группами.AppLockerсостоит из драйвера (%SystemRoot%\System32\Drivers\AppId.sys) и службы (%SystemRoot%\System32\AppIdSvc.dll), выполняемой в процессе SvcHost.
Проверки прав доступа
Модель безопасности Windows требует, чтобы поток, прежде чем открыть объект, указал, какого типа действия он хочет совершить над объектом. Для выполнения проверок прав доступа, основанных на желаемом потоком доступе, диспетчер объектов вызывает SRM, и если доступ предоставляется, процессу потока назначается дескриптор, с которым поток (или другие потоки процесса) может выполнять дальнейшие операции над объектом.
РАЗГРАНИЧЕНИЕ ПРАВ ДОСТУПА.
Обычно полномочия субъекта представляются: списком ресурсов, доступным пользователю и правами по доступу к каждому ресурсу из списка.
Существуют следующие методы разграничения доступа:
-Разграничение доступа по спискам.
-Использование матрицы установления полномочий.
-Разграничение доступа по уровням секретности и категориям.
-Парольное разграничение доступа.
При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в подсистемах безопасности операционных систем и систем управления базами данных.
Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.
Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и не оптимальность (большинство клеток – пустые).
Разграничение доступа по уровням секретности и категориям заключается в разделении ресурсов информационной системы по уровням секретности и категориям.
При разграничении по степени секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен, например, пользователь имеющий доступ к данным "секретно", также имеет доступ к данным "конфиденциально" и "общий доступ".
При разграничении по категориям задается и контролируется ранг категории пользователей. Соответственно, все ресурсы информационной системы разделяются по уровням важности, причем определенному уровню соответствует категория пользователей. В качестве примера, где используются категории пользователей, приведем операционную систему Windows 2000, подсистема безопасности которой по умолчанию поддерживает следующие категории (группы) пользователей: "администратор", "опытный пользователь", "пользователь" и "гость". Каждая из категорий имеет определенный набор прав. Применение категорий пользователей позволяет упростить процедуры назначения прав пользователей за счет применения групповых политик безопасности.
Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.
На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.